PROBLEM: spyware.cyberlog-x

**Jeronimo_man** · 05.09.2006, 17:05

also ich hab ein problem mit spyware.cyberlog-x was seit einigen tage auf meinem rechner umherschwirrt. nervige pop-ups und andauernde versuche mir neue-virenprogs zu verkaufen macht das arbeiten am rechner zu qual!

hoffe mir kann da jmd helfen, die spyware wieder vom rechner zu löschen. weil formatieren will ich nicht schon wieder!

ich hab jetzt mal ein systemcheck mit hijack durchgeführt, hier ist das ergebnis, kommt mir etwas kurz vor aber schaut euchs selber mal an:

Logfile of HijackThis v1.99.1
Scan saved at 17:42:03, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\fhdrb.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\fwebprot.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\Rar$EX00.360\HijackThis.e xe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {47683CEC-F45B-4D10-B5DF-CD5059003963} - C:\WINDOWS\system32\awvtu.dll (file missing)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\fhdrb.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [dd1fd50f.exe] C:\Dokumente und Einstellungen\Ju Lian\Lokale Einstellungen\Anwendungsdaten\dd1fd50f.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3530B3C8-EF95-4682-A055-93E4E5660CC3} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3530B3C8-EF95-4682-A055-93E4E5660CC3} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7969C4D7-C454-4108-805A-CBFE8507B69F}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A7C048C-3648-4595-BFC1-55BED05CEF87}: NameServer = 192.168.1.1
O20 - Winlogon Notify: awvtu - C:\WINDOWS\system32\awvtu.dll (file missing)
O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: hpdj - HP - C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\hpdj.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

so das war systemcheck! hoffe jmd hat ahnung davon.
im netz hab ich schon eine lösung des problems gefunden, dort wurde ebenfalls ein systemcheck mit hijack durchgeführt. jedoch stellt sich die frage ob die dann beschriebene lösung auch auf mein system zutrifft und ob ich die spyware, so wies dort beschreiben ist, ebenfalls entfernen kann.
auf andere lösungen bin ich natürlich auch offen.

anbei noch die url zu der seite mit der lösung...

http://forums.techguy.org/security/4...yhomepage.html

hoffe ihr könnt mir weiterhelfen!!!

mfg
jeronimo_man

**konrad** · 05.09.2006, 17:20

Herzlich Willkommen auf der Helpline Jeronimo_man

Also ich würde mit Sicherheit den Rechner plattmachen und neu aufsetzen... denn bei solch hartnäckigen Bösewichten weis' man nie, wo noch was im System davon steckt.

Anleitungen hin oder her ... meistens gibt's dann noch irgendwie/wo Probleme die damit in Zusammenhang stehen.

... und natürlich sollte man mal entweder sein Surfverhalten oder aber sein Sicherheitskonzept überdenken. Brain2.0 hilft

PS: Das Hijack-Ergebnis kannst du übrigens auf www.hijackthis.de selbst auswerten ...

**Jeronimo_man** · 05.09.2006, 17:20

was ich grad noch vergessen habe! außerdem wird mir mitgeteilt:
SYSTEM ALERT: trojan-spy.win32@mx

was das nu genau ist weiß ich nicht...auf jedenfall auch spyware...^^

mfg
jeronimo_man

**konrad** · 05.09.2006, 17:29

Die Kiste ist ganz schön verseucht.

Hier mal die Auswertung (Achtung: Link nur 3Tage gültig !!!)

http://www.hijackthis.de/logfiles/bd...41edf6fcb.html

**Jeronimo_man** · 05.09.2006, 18:20

also du meinst den rechner plätten?!...kannst du denn meinen scan mit dem in dem link vergleichen und mir sagen ob ich ads evt auch so amchen kann? @konrad

**konrad** · 05.09.2006, 18:41

Tut mir leid, aber vergleichen müsstest du schon selbst. Habe meine Zeit schließlich auch nicht gestohlen.
Natürlich kannst du es mit den div. Tools in der Anleitung von dem von dir geposteten Link versuchen ... aber ICH arbeite gern an einem Rechner, der nicht kompromitiert ist.

Nochmals mein Tipp: Mach die Kiste platt !

**Jeronimo_man** · 07.09.2006, 13:53

hat sonst noch wer irgendeine idee, wie ich das problem mit der spyware auf meinem rechner lösen kann?
ich wäre ecuh sehr dankbar

**quman** · 07.09.2006, 16:18

Ja, wie konrad schon sagte, führe eine Neuinstallation durch mit vorheriger(!) Formatierung.

Wenn deine Socken Löcher haben, kannste sie stopfen.
Aber ab einer gewissen Größe der Löcher (od. Anzahl) macht Stopfen wenig Sinn. Da ziehste die Socken morgens an und abends sind die gestopften Löcher entweder wieder auf oder ein neues hinzugekommen, weil das Material langsam mürbe wird.

So isses auch mit deinem Windows.
Da haste dir halt derart viel Dreck in's Getriebe geholt, dass es mit einmal drüberpusten mittels irgendwelcher Tools nicht mehr getan ist. Du weisst nicht, welche Systemdateien der Schädling noch verändert hat, um weitere Hintertüren für Schädlinge (die noch kommen) zu öffnen.
Auch ist davon auszugehen, dass dein System mit den "Beulen" die es trotz der Entfernung der Spyware, des Trojaners, der Adaware - und was du noch so alles drauf hast - hat, weiter rumeiern wird.

Ein guter Virenscanner, sowie geeignete Antispyware-Tools (Hijack, AdAware, Spybot) können eine Vielzahl von Schädlingen Löschen. Wenn das aber nicht klappt (versuch's halt mit den Tools), dann geht's halt auch nicht und du musst Formatiern und neu Aufsetzen.

Grüsse
Q

**Jeronimo_man** · 08.09.2006, 10:24

alles klar! dann werd ich am wochenende den rechner mal plätten...
vielen dank für eure versuche.

MFG jeronimo

**quman** · 08.09.2006, 10:29

Wenn du neu installierst, dann denke bitte dran (sofern das ServicePack2 nicht schon auf der XP-CD integriert ist), dass du dir vor(!) der Installation das SP2 lädst und nach der Installation einspielst, bevor(!) du das erste mal in's Internet gehst.
Ansonsten hast du dir - das versprech ich dir - binnen 20 Sekunden den Blasterwurm und noch das eine oder ander sinnlose Kriechtier eingefangen.

Grüsse
Q